Глава 2. Рекомендации по организации взаимодействия информационных систем организаций финансового рынка с инфраструктурой электронного правительства в целях обеспечения санкционированного доступа к информации, содержащейся в информационных системах

2.1. Организациям финансового рынка рекомендуется при организации взаимодействия их информационных систем с ЕСИА руководствоваться Регламентом информационного взаимодействия участников с оператором ЕСИА и оператором эксплуатации инфраструктуры электронного правительства и иными документами об организации взаимодействия с ЕСИА, размещенными по адресу https://digital.gov.ru/ru/documents/.

2.2. Организациям финансового рынка рекомендуется организовать взаимодействие их информационных систем с ЕСИА с применением протокола на базе OpenID Connect, безопасная реализация которого подтверждена положительным заключением ФСБ России о соответствии требованиям по безопасности информации, руководствуясь Методическими рекомендациями по использованию ЕСИА, размещенными по адресу https://digital.gov.ru/ru/documents/6186/, а также посредством единой системы межведомственного электронного взаимодействия (далее - СМЭВ), руководствуясь рекомендациями по работе со СМЭВ, размещенными по адресу https://info.gosuslugi.ru/new/smev, а также материалами по использованию личного кабинета участника взаимодействия, размещенными по адресу https://lkuv.gosuslugi.ru/paip-portal/#/main/.

2.3. Организациям финансового рынка рекомендуется использовать форматы сообщений, соответствующие видам сведений СМЭВ, размещенным по адресу https://lkuv.gosuslugi.ru/paip-portal/#/main/.

2.4. Организациям финансового рынка рекомендуется при взаимодействии их информационных систем с инфраструктурой Цифрового профиля руководствоваться Методическими рекомендациями по интеграции с REST API Цифрового профиля и Сценариями использования инфраструктуры Цифрового профиля и Цифрового профиля организации, размещенными по адресу https://digital.gov.ru/ru/documents/, а также видами сведений СМЭВ, размещенными по адресу https://lkuv.gosuslugi.ru/paip-portal/#/main/.

2.5. При осуществлении обмена электронными сообщениями, содержащими конфиденциальную информацию (не содержащей сведения, составляющие государственную тайну, но защищаемую в соответствии с законодательством Российской Федерации) и (или) персональные данные, организациям финансового рынка рекомендуется:

обеспечивать целостность электронных сообщений с использованием усиленной электронной подписи, реализуемой средствами электронной подписи класса не ниже КС3, предусмотренными пунктом 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом ФСБ России от 10 июля 2014 года N 378 <1> (далее - Состав и содержание организационных и технических мер), а также пунктом 15 Требований к средствам электронной подписи, утвержденных приказом ФСБ России от 27 декабря 2011 года N 796 <2> (далее - Требования к средствам электронной подписи);

--------------------------------

<1> Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.

<2> Зарегистрирован Минюстом России 9 февраля 2012 года, регистрационный N 23191, с изменениями, внесенными приказами ФСБ России от 4 декабря 2020 года N 555 (зарегистрирован Минюстом России 30 декабря 2020 года, регистрационный N 61972), от 13 апреля 2021 года N 142 (зарегистрирован Минюстом России 20 мая 2021 года, регистрационный N 63528), от 13 апреля 2022 года N 179 (зарегистрирован Минюстом России 11 мая 2022 года, регистрационный N 68446).

обеспечивать конфиденциальность электронных сообщений с использованием СКЗИ класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер.

2.6. Организациям финансового рынка рекомендуется при организации взаимодействия их информационных систем с ЕСИА руководствоваться Рекомендациями по обеспечению информационной безопасности при взаимодействии информационных систем организаций финансового рынка с инфраструктурой электронного правительства, приведенными в приложении к настоящим Методическим рекомендациям Банка России.

2.7. Организациям финансового рынка рекомендуется размещать объекты информационной инфраструктуры, используемые при взаимодействии с инфраструктурой электронного правительства, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

2.8. Для объектов информационной инфраструктуры в пределах выделенных (отдельных) сегментов (группы сегментов) вычислительных сетей, в отношении которых применяются меры защиты информации, реализующие стандартный уровень защиты информации (уровень 2), определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Росстандарта от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" <1>, организациям финансового рынка рекомендуется обеспечивать уровень соответствия защиты информации не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденным приказом Росстандарта от 28 марта 2018 года N 156-ст "Об утверждении национального стандарта Российской Федерации" <2>.

--------------------------------

<1> М.: ФГУП "Стандартинформ", 2017.

<2> М.: ФГУП "Стандартинформ", 2018.

2.9. Обращаем внимание на необходимость обеспечить при организации взаимодействия и присоединения информационных систем организаций финансового рынка к ЕСИА, СМЭВ и инфраструктуре Цифрового профиля реализацию мер, указанных в пункте 11 Положения об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, утвержденного постановлением Правительства Российской Федерации от 8 июня 2011 года N 451, и пункте 5 Правил присоединения информационных систем организаций к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, утвержденных постановлением Правительства Российской Федерации от 22 декабря 2012 года N 1382 "О присоединении информационных систем организаций к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме".